Experteninterview zur sicheren Datenablage
01. März 2021 | Allgeier CyRis
Interview zum sicheren Umgang mit Dateien in Unternehmen und Betrieben
Kollaboratives Arbeiten oder auch kollaboratives Projektmanagement bestimmen immer stärker den Arbeitsalltag. Was damit ebenso in den Vordergrund rückt, sind die Fragen von Zugangsberechtigungen und sicherem Informationsaustausch: Ist das im Zeitalter der Digitalisierung überhaupt möglich? Im Interview mit Ralf Nitzgen, Geschäftsführer Allgeier CyRis, gehen wir dieser und weiteren Fragen nach.
Herr Nitzgen, das Thema Kollaboration, bei dem in Projekten per sogenannter Mehrautorenschaft mehrere Personen gleichzeitig Präsentation erstellen oder Texte verfassen, gewinnt immer mehr an Bedeutung. Doch das aktive Teilen von Dokumenten vergrößert die Angriffsfläche für Cyberattacken. Wie können beim kollaborativen Arbeiten sowohl die Effizienz als auch der Schutz sensibler Dateien gleichzeitig sichergestellt werden?
Wir erleben vermehrt, dass in Projektarbeit Mitarbeiter an völlig verschiedenen Orten sitzen, in unterschiedlichen Abteilungen, rechtlich eigenständigen Unternehmen und möglicherweise sogar in verschiedenen Zeitzonen sind. Immer häufiger werden in Projekten auch externe Berater wie Freelancer hinzugezogen. Dann brauche ich eine Möglichkeit bzw. ein System, mit dem die Dateien effektiv genutzt und zügig ausgetauscht werden können, ohne dass es Größenbeschränkungen oder ähnliche Hindernisse gibt. Gleichzeitig muss sichergestellt sein, dass die Dateien dort, wo sie abgelegt werden, geschützt sind.
Letztendlich muss es möglich sein, zu jedem beliebigen Zeitpunkt, von jedem beliebigen Ort aus, mit jedem beliebigen Endgerät auf diejenigen Informationen zugreifen zu können, die für mich autorisiert sind. Das impliziert auch entsprechende Schutzmechanismen der Dateien, für die ich nicht autorisiert bin. Wenn diese Anforderungen für alle relevanten Personen zum Beispiel eines Projekts oder einer Gruppe wie dem Vorstand gewährleistet werden können, dann bin ich dazu im Stande, sichere Kollaboration zu betreiben.
Jetzt haben Sie die Bedeutung von Schutzmechanismen angesprochen. Lassen Sie uns hier noch etwas konkreter werden. Wie sehen die Mechanismen in der Praxis aus?
Das Wichtigste ist dafür zu sorgen, dass sämtliche abgelegten Dateien verschlüsselt sind – und zwar auf eine Art und Weise, auf die der Betreiber, auch wenn er Vollzugriff als Administrator des Systems hat, diese nicht entschlüsseln kann. Das heißt konkret, dass auf der einen Seite die Verschlüsselung notwendig ist und auf der anderen Seite beim Einsatz darauf zu achten ist, dass das Schlüsselmaterial den Personen nicht zugänglich ist, die für den Betrieb verantwortlich sind.
Mit diesem Ansatz hätte auch ein Vorfall wie der eines Edward Snowden, Sharepoint-Administrator des CIA, nicht stattfinden können. Denn hier wurden wichtige Informationen auf einem Sharepoint-Server abgelegt, ohne darauf zu achten, dass der Administrator nicht zum autorisierten Personenkreis zählt.
Es geht also vom Ansatz her um die Punkte Verschlüsselung und Betrieb. Wie kann dieser Ansatz in der Praxis konkret gestaltet sein?
Es muss eine geeignete Rollentrennung zwischen Administrator, der keine Rechte an den abgelegten Informationen hat, und dem Besitzer des Ablageortes, der auf die Inhalte zugreifen kann, geben.
Um es konkret zu sagen: Der Besitzer des Ablageortes bestimmt über die Inhalte. Er ist der Erste, der Lese- und Schreiberechte hat. Er ist zudem in der Lage, weitere Rechte des Lesens und der Bearbeitung an andere Projektmitarbeiter weiterzugeben und entscheidet somit, wer Ver- und Entschlüsselungsrechte hat. So kann letztendlich sichere Kollaboration gewährleistet werden. Dies gilt dann ebenso im Hinblick auf eine sichere Dateiablage in der Cloud.
Gibt es klassische Fälle, in denen diese Art von Dateienschutz beziehungsweise Rollenzuschreibung ganz besonders wichtig ist?
Vom Prinzip sind dies alle Branchen, in denen Kommunikation mit Dritten von Statten geht, ein hohes Schutzbedürfnis besteht und die jeweiligen Partner nicht über geeignete Schutzmechanismen verfügen. Ein gutes Beispiel hierfür ist ein Fall der Schadenbearbeitung einer Sachversicherung: Denn hierbei werden nahezu immer sensible Daten ausgetauscht, seien es Dokumente mit personenbezogenen Daten, finanzielle Angelegenheiten wie etwa Schadensumme oder auch Fotos von Unfallgegnern.
Und wie würden Dateienschutz und Rollenzuschreibung idealerweise gestaltet sein?
Bei der Bearbeitung wird in einem ersten Schritt ein virtueller Ablageort geschaffen, in dem alle abgelegten Dateien verschlüsselt werden. Dies übernimmt zumeist der Sachbearbeiter, der für den Fall zuständig ist und somit als Besitzer des Ablageortes fungiert. Eingeladen wird im nächsten Schritt zunächst einmal derjenige, der den Schaden gemeldet hat – sei es als Schadenverursacher oder auch als Geschädigter. Ebenso eingeladen werden dann zum Beispiel Gutachter, die als unabhängige Dritte den Vorgang einschätzen müssen. Sie müssen Zugriffsrechte in Form von Lese- oder Bearbeitungsrechten der Dateien haben. Das heißt: Der Administrator ermöglicht ihnen die Entschlüsselung. Damit kann die gesamte Korrespondenz, die hohen rechtlichen Sicherheitsanforderungen unterliegt, digital abgebildet werden.
Andere klassische Bereiche sind das Gesundheitswesen, die Pharmabranche wie auch Industrie und Entwicklung, in denen an neuen Technologien geforscht wird. Generell gilt, dass die Datenschutzgrundverordnung, die am 25. Mai 2018 in Kraft getreten ist, ein hohes Maß an Schutz beim Umgang bzw. der Verarbeitung personenbezogener Daten EU-weit einheitlich festlegt. Damit ist das Bedürfnis nach sicherer, verschlüsselter Kollaboration gestiegen. Hier kann emily von Allgeier IT zum einen als virtueller Ablageort, in dem sämtliche Dateien abgelegt werden, und als System, das es ermöglicht, ein relevantes Rollenprinzip umzusetzen, Unternehmen optimal unterstützen.
Mehr Informationen zum Thema „Sichere Datenablage mit emily“ finden Sie hier:
